Google advarer om AI-drevet skadelig programvare rettet mot kryptobrukere

Trusselaktører, inkludert de med bånd til Nord-Korea, bruker AI-aktivert skadelig programvare som omskriver seg selv i sanntid for å målrette mot kryptovalutabrukere, ifølge en advarsel utstedt denne uken av Google.

"Trusselaktører knyttet til Den demokratiske folkerepublikken Korea (DPRK) fortsetter å misbruke generative AI-verktøy for å støtte operasjoner på tvers av stadiene av angrepets livssyklus, i tråd med deres innsats for å målrette kryptovaluta og gi økonomisk støtte til regimet," skrev Google Threat Intelligence Group i en fersk rapport.

AI-drevet skadelig programvare utgjør nye risikoer for kryptobrukere

Google har sporet minst fem forskjellige malware-familier som kan "dynamisk generere ondsinnede skript, tilsløre sin egen kode for å unngå oppdagelse," ved å bruke store språkmodeller som Gemini og Qwen2.5-Coder under kjøring.

AI-aktivert skadelig programvare er den nye grensen innen nettangrep og presenterer en stor eskalering fra tidligere tilnærminger, der ondsinnede funksjoner vanligvis ble hardkodet direkte inn i selve skadevaren.

Den nye malware-stammen kan i hovedsak omskrive og tilpasse koden mens den er på farten, og dermed gjøre det betydelig vanskeligere å oppdage og redusere ved hjelp av tradisjonelle sikkerhetsverktøy.

Google fremhevet spesifikt to malware-familier, PROMPTFLUX og PROMPTSTEAL, som integrerer store språkmodeller direkte i operasjonene sine for å regenerere kode, unngå antivirusprogramvare og utføre kommandoer på systemnivå i sanntid.

PROMPTFLUX er en eksperimentell dropper som bruker Geminis API til å kontinuerlig omskrive VBScript-koden, slik at den kan oppdatere obfuskeringstaktikken og gli forbi sikkerhetsverktøy.

Mens PROMPTSTEAL, en datagruvearbeider, utnytter Qwen-modellen som er vert på Hugging Face for å generere Windows-kommandoer på forespørsel for å samle inn filer og systeminformasjon.

PROMPTSTEAL har vært direkte assosiert med Russlands APT28-gruppe og har allerede blitt utplassert i live-operasjoner.

Kryptobrukere er også i faresonen ettersom den Nord-Korea-tilknyttede gruppen UNC1069, også kjent som Masan, har brukt Gemini "til å undersøke kryptovalutakonsepter, og utføre forskning og rekognosering knyttet til plasseringen av brukernes kryptovaluta lommebok applikasjonsdata."

Ifølge Google gikk gruppen lenger ved å lage flerspråklige phishing-meldinger og forsøke å utvikle kode som utga seg for programvareoppdateringer for å stjele legitimasjon og trekke ut digitale eiendeler.

Trusselaktører, inkludert DPRK-tilknyttede angripere, har også brukt AI-drevne verktøy for å generere deepfake-bilder og videoer som utgir seg for å være enkeltpersoner i kryptovalutaindustrien som en del av sosiale ingeniørkampanjer som tar sikte på å distribuere skadelig programvare og få tilgang til målsystemer.

Google sa at de allerede hadde deaktivert kontoene knyttet til disse aktivitetene, men det gjenstår fortsatt risiko ettersom angripere kan bruke AI til å generere skreddersydde eksfiltreringsskript, phishing-lokker og systemkommandoer som kan målrette kryptoplattformer og deres brukere med langt større presisjon enn før.

Tidligere forsøk på å målrette kryptobrukere ved hjelp av skadelig programvare

Siden oppstarten av kryptoindustrien har angripere brukt ulike kreative angrepsvektorer for å utnytte sårbarheter i plattformer, brukere og infrastruktur.

Forrige måned, i en egen rapport, identifiserte Google en annen skadelig programvarestamme kalt EtherHiding at Nord-Korea-tilknyttede angripere presset gjennom blokkjede-smarte kontrakter på Ethereum og BNB Smart Chain for å levere ondsinnede nyttelaster i det skjulte.

Tidligere i år flagget Kaspersky en annen storstilt skadevareoperasjon som misbrukte SourceForge-programvareplattformen til å distribuere kryptomålrettet skadelig programvare forkledd som falske Microsoft Office-tillegg og klarte å infiltrere over 4,600 enheter, for det meste i Russland.